Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\ryu.bat
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\DisplayMgr] 'ImagePath' = '%TEMP%\DisplayMgr.sys'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c sc delete ServiceController
- '<SYSTEM32>\sc.exe' delete ServiceController
- '%WINDIR%\Temp\autoexec32.exe'
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\TEMP\Tmp2163dpea893a.bat
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: DisplayMgr.sys
Скрывает следующие процессы:
- %WINDIR%\Temp\autoexec32.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\install.log
- %TEMP%\DisplayMgr.sys
- %WINDIR%\Temp\autoexec32.exe
- %WINDIR%\Temp\Tmp2163dpea893a.bat
Удаляет следующие файлы:
- %TEMP%\DisplayMgr.sys
Самоудаляется.
